غير متصل
من فضلك قم بتحديث الصفحة لمشاهدة المحتوى المخفي
بسم الله الرحمن الرحيم
بعد التحية والسلام،
قد وددت طرح هذا الموضوع نظرًا لنقاش حصل بيني وبين أخي العزيز @الخفـوق
وقد اتضح من الحوار، أن كلًّا منّا كان له فهم مختلف لإعدادات الأمان التي تأتي مع خصائص الملف في الويندوز
بعد التحية والسلام،
قد وددت طرح هذا الموضوع نظرًا لنقاش حصل بيني وبين أخي العزيز @الخفـوق
وقد اتضح من الحوار، أن كلًّا منّا كان له فهم مختلف لإعدادات الأمان التي تأتي مع خصائص الملف في الويندوز
وقد تم فتح هذا الموضوع لوضع حد لهذا الإختلاف للوصول لنتيجة صحيحة -بإذن الله-
أولًا، إعدادات الأمان هذه في خصائص هذا الملف:
لا تشبه أبدًا إعداداته هنا على الكاسبر:
إعدادات الامان: هي إعدادات هدفها حماية المجلدات أو الملفات المعنية وبياناتهما من النظام والمستخدمين والبرامج الأخرى التي تعمل تحتهما وليس لإعدادات الأمان علاقة بسلوكيات الملف نفسه
بينما العكس في إعدادات الكاسبر: حماية النظام والمستخدمين من سلوكيات الملف المعني
س/ ما فائدة إعدادات الأمان إن كانت تحمي الملف أو المجلد المعني فقط؟
في النسخ السابقة من ويندوز، كان يتم فقد ملفات النظام الهامة من قبل خطأ المستخدمين أو فيروسات بسيطة أو حتى أوامر cmd
فوضعت هذه الإعدادات لتحديد من له صلاحية على الملف أو المجلد من المستخدمين (النظام يعتبر مستخدم باسم SYSTEM)
س/ كيف يتم ضبط إعدادات الأمان؟
عند تنصيب الويندوز، يتم وضع إعدادات الأمان لكل مجلد وملف في النظام من قبل مايكروسوفت بشكل افتراضي
ثم تتاح لك إمكانية تعديل هذه الإعدادات -حسب ذوقك- بصفتك مسؤول
وتعديل إعدادات الأمان يتطلب أن تكون مالكًا للملف أو المجلد أو لك صلاحية التعديل على الصلاحية (وليس التعديل على الملف)
فإن لم تكن مالكًا وكانت الملكية لـ TrustedInstaller وهو منصب الويندوز أو التحديثات الخاصة بالويندوز أو أي منصب من مايكروسوفت
يمكنك تغيير المالك لاسمك أنت، ثم يحق لك تعديل إعدادات الأمان على مسؤوليتك
ما عدا بعض الملفات التي وضعتها مايكروسوفت كـ High Mandatory Level
وهي لا يمكن تعديل صلاحيتها أو تعديلها (الملفات) إلا من قبل TrustInstaller
حتى لو تم تغيير المالك، فلن يفيد، وذلك مثل ملف bootmgr.sys
ويمكن تعديل مثل هذه الملفات، خارج بيئة الويندوز
س/ إذا كان يمكنني الوصول لملف معين لوحدي، فهل يمكن للبرامج أن تصل له؟
نعم، لأن البرامج تعمل تحت اسم مستخدم معين (أنت، SYSTEM، حساب آخر)
بشرط أن تصل لصلاحية مسؤول، إذ يمكنها العمل تحت اسمك بدون خواص المسؤول
مما يتيح لها التعديل على حسابك فقط (كأن حسابك محدود)
كما هذه الصورة من إدارة المهام:
وملفات النظام على سبيل المثال في Program Files وكذلك مجلد Windows
تأتي مع إعداد الأمان الافتراضي من مايكروسوفت وهو
النظام: وصول كامل
مسؤولين: قراءة وتنفيذ
مستخدمين (عام) (يشمل المسؤولين): قراءة وتنفيذ
TrustedInstaller: وصول كامل
الملكية: TrustedInstaller
هذا يعني أي برنامج يعمل تحت اسم SYSTEM كبرامج النظام وبرامج الحماية يمكنه الوصول بشكل كامل لملفات النظام
وأي برنامج يحمل تحت اسمك سوف يحق له القراءة والتشغيل فقط بدون التعديل والحذف
(طبعًا يجب أن يعمل كمسؤول تحت اسم حسابك)
س/ لماذا يتم وضع صلاحيات الملفات الجديدة بشكل تلقائي، كالبرامج التي أنصبها كما هذه الصورة؟
بينما على سطح المكتب لا يظهر ذلك؟
كما يتضح من الصورة، أصبح ملف IDMan يتطلب مسؤول للحذف أو التعديل رغم أنه برنامج جديد أنا وضعته
ولو نسخت بشكل يدوي برنامج (ولو حتى فيروس) سيحصل على نفس الأذونات (إعدادات الأمان)
لأن هناك خاصية في إعدادات الأمان في المجلدات اسمها التوريث
أي أن إذا كان المجلد Program Files له إعدادات معينة
يمكن أن يضع خواص لتوريث خصائصه للمجلدات داخله أو الملفات أو المجلدات الفرعية وملفاتها .. الخ
أي أن الملف الذي داخل Program Files يرث بعض إعداداته حسب ما تم ضبطه
طبعًا لا يستطيع وراثة هذه الإعدادات إلا بعد التمكن من الدخول ولا يمكنه الدخول إلا بمسؤول فيستحق بعدها وراثة هذه الصلاحيات
وهناك إعدادات متقدمة لمزيد من الخيارات بالنسبة للصلاحيات والتوريث(مزيد من التعقيد والتفصيل في الصلاحيات المقدمة)
وهذا السؤال هو توضيح لمقال الأخ @الخفـوق السابق هنا
إذ أنه كان على حق بقوله هي محاولة من ويندوز لكبح إضافة ملفات لـ Program Files بدون إذن مسؤول
س/ إذا كان بإمكاني تعديل إعدادات الأمان لمنع نفسي من التعديل على ملف معين أو تغيير ملكيته
فهل سيستطيع برنامج يعمل باسمي (حسابي) فك هذا المنع؟
نعم، يمكنه ذلك، لأن هناك دوال في البرمجة مع الاتصال بمكتبة خارجية تتيح التعديل على إعدادات الأمان في خصائص الملف كما لو عدلتها أنت
ففي حال وضع أذونات على ملف لمنع تعديله إطلاقًا كالتالي:
النظام: قراءة + تنفيذ
أنت: عدم الوصول
الباقي: عدم الوصول
صحيح أنك منعت نفسك من عدم الوصول لفتح أو تعديل أو حذف الملف
لكن لم تمنع نفسك من تعديل إعدادات الأمان مرة أخرى لفك هذا المنع
فيمكن لبرنامج معين أو فيروس يعمل تحت اسمك فك هذا المنع وتعديل الملف مرة أخرى
بالنهاية، انتظر ردك أخي @الخفـوق ومرحب أيضًا بأي عضو يشارك معنا
وآسف على طرح الموضوع بدون شرح وافي، لأن المقصد من الموضوع هو إكمال نقاش
أولًا، إعدادات الأمان هذه في خصائص هذا الملف:
لا تشبه أبدًا إعداداته هنا على الكاسبر:
إعدادات الامان: هي إعدادات هدفها حماية المجلدات أو الملفات المعنية وبياناتهما من النظام والمستخدمين والبرامج الأخرى التي تعمل تحتهما وليس لإعدادات الأمان علاقة بسلوكيات الملف نفسه
بينما العكس في إعدادات الكاسبر: حماية النظام والمستخدمين من سلوكيات الملف المعني
س/ ما فائدة إعدادات الأمان إن كانت تحمي الملف أو المجلد المعني فقط؟
في النسخ السابقة من ويندوز، كان يتم فقد ملفات النظام الهامة من قبل خطأ المستخدمين أو فيروسات بسيطة أو حتى أوامر cmd
فوضعت هذه الإعدادات لتحديد من له صلاحية على الملف أو المجلد من المستخدمين (النظام يعتبر مستخدم باسم SYSTEM)
س/ كيف يتم ضبط إعدادات الأمان؟
عند تنصيب الويندوز، يتم وضع إعدادات الأمان لكل مجلد وملف في النظام من قبل مايكروسوفت بشكل افتراضي
ثم تتاح لك إمكانية تعديل هذه الإعدادات -حسب ذوقك- بصفتك مسؤول
وتعديل إعدادات الأمان يتطلب أن تكون مالكًا للملف أو المجلد أو لك صلاحية التعديل على الصلاحية (وليس التعديل على الملف)
فإن لم تكن مالكًا وكانت الملكية لـ TrustedInstaller وهو منصب الويندوز أو التحديثات الخاصة بالويندوز أو أي منصب من مايكروسوفت
يمكنك تغيير المالك لاسمك أنت، ثم يحق لك تعديل إعدادات الأمان على مسؤوليتك
ما عدا بعض الملفات التي وضعتها مايكروسوفت كـ High Mandatory Level
وهي لا يمكن تعديل صلاحيتها أو تعديلها (الملفات) إلا من قبل TrustInstaller
حتى لو تم تغيير المالك، فلن يفيد، وذلك مثل ملف bootmgr.sys
ويمكن تعديل مثل هذه الملفات، خارج بيئة الويندوز
س/ إذا كان يمكنني الوصول لملف معين لوحدي، فهل يمكن للبرامج أن تصل له؟
نعم، لأن البرامج تعمل تحت اسم مستخدم معين (أنت، SYSTEM، حساب آخر)
بشرط أن تصل لصلاحية مسؤول، إذ يمكنها العمل تحت اسمك بدون خواص المسؤول
مما يتيح لها التعديل على حسابك فقط (كأن حسابك محدود)
كما هذه الصورة من إدارة المهام:
وملفات النظام على سبيل المثال في Program Files وكذلك مجلد Windows
تأتي مع إعداد الأمان الافتراضي من مايكروسوفت وهو
النظام: وصول كامل
مسؤولين: قراءة وتنفيذ
مستخدمين (عام) (يشمل المسؤولين): قراءة وتنفيذ
TrustedInstaller: وصول كامل
الملكية: TrustedInstaller
هذا يعني أي برنامج يعمل تحت اسم SYSTEM كبرامج النظام وبرامج الحماية يمكنه الوصول بشكل كامل لملفات النظام
وأي برنامج يحمل تحت اسمك سوف يحق له القراءة والتشغيل فقط بدون التعديل والحذف
(طبعًا يجب أن يعمل كمسؤول تحت اسم حسابك)
س/ لماذا يتم وضع صلاحيات الملفات الجديدة بشكل تلقائي، كالبرامج التي أنصبها كما هذه الصورة؟
بينما على سطح المكتب لا يظهر ذلك؟

كما يتضح من الصورة، أصبح ملف IDMan يتطلب مسؤول للحذف أو التعديل رغم أنه برنامج جديد أنا وضعته
ولو نسخت بشكل يدوي برنامج (ولو حتى فيروس) سيحصل على نفس الأذونات (إعدادات الأمان)
لأن هناك خاصية في إعدادات الأمان في المجلدات اسمها التوريث
أي أن إذا كان المجلد Program Files له إعدادات معينة
يمكن أن يضع خواص لتوريث خصائصه للمجلدات داخله أو الملفات أو المجلدات الفرعية وملفاتها .. الخ
أي أن الملف الذي داخل Program Files يرث بعض إعداداته حسب ما تم ضبطه
طبعًا لا يستطيع وراثة هذه الإعدادات إلا بعد التمكن من الدخول ولا يمكنه الدخول إلا بمسؤول فيستحق بعدها وراثة هذه الصلاحيات
وهناك إعدادات متقدمة لمزيد من الخيارات بالنسبة للصلاحيات والتوريث(مزيد من التعقيد والتفصيل في الصلاحيات المقدمة)
وهذا السؤال هو توضيح لمقال الأخ @الخفـوق السابق هنا
إذ أنه كان على حق بقوله هي محاولة من ويندوز لكبح إضافة ملفات لـ Program Files بدون إذن مسؤول
س/ إذا كان بإمكاني تعديل إعدادات الأمان لمنع نفسي من التعديل على ملف معين أو تغيير ملكيته
فهل سيستطيع برنامج يعمل باسمي (حسابي) فك هذا المنع؟
نعم، يمكنه ذلك، لأن هناك دوال في البرمجة مع الاتصال بمكتبة خارجية تتيح التعديل على إعدادات الأمان في خصائص الملف كما لو عدلتها أنت
ففي حال وضع أذونات على ملف لمنع تعديله إطلاقًا كالتالي:
النظام: قراءة + تنفيذ
أنت: عدم الوصول
الباقي: عدم الوصول
صحيح أنك منعت نفسك من عدم الوصول لفتح أو تعديل أو حذف الملف
لكن لم تمنع نفسك من تعديل إعدادات الأمان مرة أخرى لفك هذا المنع
فيمكن لبرنامج معين أو فيروس يعمل تحت اسمك فك هذا المنع وتعديل الملف مرة أخرى
بالنهاية، انتظر ردك أخي @الخفـوق ومرحب أيضًا بأي عضو يشارك معنا
وآسف على طرح الموضوع بدون شرح وافي، لأن المقصد من الموضوع هو إكمال نقاش

التعديل الأخير: